Secure Software Development LifeCycle

Magazine
Marque
MISC
Numéro
109
Mois de parution
mai 2020
Spécialité(s)


Résumé

Selon IBM, en 2019 il fallait en moyenne 206 jours pour identifier une brèche de sécurité puis 108 jours pour que la correction soit effective. Quelles sont les mesures à mettre en place pour découvrir les vulnérabilités des applications avant qu’elles ne soient déployées en production ?


Pour éviter l’exploitation d’une vulnérabilité par un individu malveillant, le plus simple est de mettre en production uniquement des applications pour lesquelles la sécurité a été testée et validée. Le 100 % sécurisé n’existant pas, cet article propose un ensemble de mesures et bonnes pratiques permettant de diminuer ce risque de déployer une application vulnérable. Les exemples ci-dessous sont principalement orientés pour une application exposée sur le Web, mais une transposition pour d’autres types d’applications est possible.

1. Software Development LifeCycle (SDLC)

Au cours de la vie d’un produit logiciel, indépendamment du mode de gestion de projet choisi (agile, cycle en V, etc.), plusieurs étapes sont nécessaires, allant de la définition du besoin à la maintenance en phase de production.

1.1 Définition du besoin

Avant le démarrage de la construction, une analyse est effectuée pour déterminer les fonctionnalités, la...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
S'abonner à Connect
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Je m'abonne
Références

[BEEF] BeEF (Browser Exploitation Framework) : https://beefproject.com

[CORNUCOPIA] OWASP Cornucopia : https://owasp.org/www-project-cornucopia

[EBIOS] Methode EBIOS par l’ANSSI : https://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de-securite

[MEHARI] Méthode MEHARI : http://meharipedia.x10host.com/wp

[ASVS] OWASP Application Security Verification Standard : https://owasp.org/www-project-application-security-verification-standard

[DT] OWASP Dependency Track : https://dependencytrack.org

[SNYK] Snyk : https://snyk.io

[GITHUB] About security alerts for vulnerable dependencies : https://help.github.com/en/github/managing-security-vulnerabilities/about-security-alerts-for-vulnerable-dependencies

[FSB] FindSecurityBugs : https://find-sec-bugs.github.io

[BANDIT] Bandit : https://bandit.readthedocs.io/en/latest

[SCS] Security Code Scan : https://security-code-scan.github.io

[PSA] phpcs-security-audit : https://github.com/FloeDesignTechnologies/phpcs-security-audit

[SONAR] SonarQube : https://www.sonarqube.org/

[CHECKMARX] Checkmarx cxSAST : https://www.checkmarx.com/products/static-application-security-testing

[CC] Cucumber : https://cucumber.io

[RF] RobotFramework : https://robotframework.org

[ARACHNI] Arachni Web Application Security Scanner Framework : https://www.arachni-scanner.com

[QUALYS] Qualys Web Application Scanning : https://www.qualys.com/lp/web-app-security

[ZAP] OWASP RAP : https://owasp.org/www-project-zap

[OPENSAMM] OWASP SAMM : https://owaspsamm.org

[BSIMM] Building Security In Maturity Model : https://www.bsimm.com

[SAFECode] Software Assurance Forum for Excellence in Code : https://safecode.org

[OPENRASP] OpenRASP de Baidu : https://github.com/baidu/openrasp

[SQREEN] Sqreen : https://www.sqreen.com



Article rédigé par

Par le(s) même(s) auteur(s)

Mettre en place un programme de Security Champions

Magazine
Marque
GNU/Linux Magazine
Numéro
269
Mois de parution
mai 2024
Spécialité(s)
Résumé

Selon Sonatype, depuis décembre 2021, 29 % des téléchargements de Log4J le sont sur des versions vulnérables à Log4Shell. Cette statistique démontre l’importance pour les entreprises de renforcer la prise en compte de la sécurité dans les équipes de développement. Comment la mise en place d’un programme de security champions peut-elle améliorer l’intégration de la sécurité au plus tôt dans les projets ?

La place des tests d'intrusion dans le cycle de développement logiciel

Magazine
Marque
MISC
HS n°
Numéro
28
Mois de parution
février 2024
Spécialité(s)
Résumé

Plus une vulnérabilité est découverte tardivement dans le cycle de développement logiciel plus son coût de correction est élevé. Les audits arrivant généralement peu de temps avant la mise en production, sont-ils une priorité pour assurer le niveau de sécurité des applications développées ?

Les indicateurs dans le DevSecOps

Magazine
Marque
MISC
Numéro
122
Mois de parution
juillet 2022
Spécialité(s)
Résumé

La mise en place du DevSecOps au sein d’une entreprise amène une modification de la manière de travailler avec l’apparition de nouveaux processus et l’utilisation de nouveaux outils. Comment s’assurer de l’efficacité et du bon déroulement de cette transformation s’il n’est pas possible de la mesurer ?

Les derniers articles Premiums

Les derniers articles Premium

PostgreSQL au centre de votre SI avec PostgREST

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Dans un système d’information, il devient de plus en plus important d’avoir la possibilité d’échanger des données entre applications. Ce passage au stade de l’interopérabilité est généralement confié à des services web autorisant la mise en œuvre d’un couplage faible entre composants. C’est justement ce que permet de faire PostgREST pour les bases de données PostgreSQL.

La place de l’Intelligence Artificielle dans les entreprises

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

L’intelligence artificielle est en train de redéfinir le paysage professionnel. De l’automatisation des tâches répétitives à la cybersécurité, en passant par l’analyse des données, l’IA s’immisce dans tous les aspects de l’entreprise moderne. Toutefois, cette révolution technologique soulève des questions éthiques et sociétales, notamment sur l’avenir des emplois. Cet article se penche sur l’évolution de l’IA, ses applications variées, et les enjeux qu’elle engendre dans le monde du travail.

Petit guide d’outils open source pour le télétravail

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Ah le Covid ! Si en cette période de nombreux cas resurgissent, ce n’est rien comparé aux vagues que nous avons connues en 2020 et 2021. Ce fléau a contraint une large partie de la population à faire ce que tout le monde connaît sous le nom de télétravail. Nous avons dû changer nos habitudes et avons dû apprendre à utiliser de nombreux outils collaboratifs, de visioconférence, etc., dont tout le monde n’était pas habitué. Dans cet article, nous passons en revue quelques outils open source utiles pour le travail à la maison. En effet, pour les adeptes du costume en haut et du pyjama en bas, la communauté open source s’est démenée pour proposer des alternatives aux outils propriétaires et payants.

Sécurisez vos applications web : comment Symfony vous protège des menaces courantes

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Les frameworks tels que Symfony ont bouleversé le développement web en apportant une structure solide et des outils performants. Malgré ces qualités, nous pouvons découvrir d’innombrables vulnérabilités. Cet article met le doigt sur les failles de sécurité les plus fréquentes qui affectent même les environnements les plus robustes. De l’injection de requêtes à distance à l’exécution de scripts malveillants, découvrez comment ces failles peuvent mettre en péril vos applications et, surtout, comment vous en prémunir.

Les listes de lecture

11 article(s) - ajoutée le 01/07/2020
Clé de voûte d'une infrastructure Windows, Active Directory est l'une des cibles les plus appréciées des attaquants. Les articles regroupés dans cette liste vous permettront de découvrir l'état de la menace, les attaques et, bien sûr, les contre-mesures.
8 article(s) - ajoutée le 13/10/2020
Découvrez les méthodologies d'analyse de la sécurité des terminaux mobiles au travers d'exemples concrets sur Android et iOS.
10 article(s) - ajoutée le 13/10/2020
Vous retrouverez ici un ensemble d'articles sur les usages contemporains de la cryptographie (whitebox, courbes elliptiques, embarqué, post-quantique), qu'il s'agisse de rechercher des vulnérabilités ou simplement comprendre les fondamentaux du domaine.
Voir les 68 listes de lecture

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous